《高校安全服务方案方针》由会员分享,可在线阅读,更多相关《高校安全服务方案方针(29页珍藏版)》请在金锄头文库上搜索。
1、/*高校信息系统安全服务方案V1.0(初稿)1 概述1.1 需求分析随着高校网络安全事件的不断增加,安全意识的不断提高,如何有效地选择安全措施,如何使安全产品发挥应有的作用,如何快速经济地提升系统的安全状况成为客户关心的问题。大家已不再满足于单纯地购买安全产品,开始寻找全面的、系统的解决方法。在这种环镜下,安全服务逐渐被大家接受,成为贯穿安全工作各个阶段、渗透各个方面的重要措施。IT安全服务是信息系统安全体系中不可或缺的一部分,是整个IT环境成熟度的一个衡量指标,当整个产业的IT基础设施建设到一定程度后,在规避安全风险,控制安全成本及商业持续性保降需求的压力之下,就需要开始考虑如何制定符合自身
2、的安全策略并使之与业务结合,这就是安全服务产生的基础。完整的安全服务不仅能帮助客户解决现有的安全问题,还能够帮助他们预计未来的趋势,规划安全的长期发展。为响应国家信息安全等级保护的要求和高校自身对信息安全的重视,全面的了解自身信息安全隐患,从物理、网络、系统、应用及管理儿个层面分析可能存在的风险,判断高校自身所面临的网络安全态势,以态势规划系统的下一步建设,特进行此次安全服务项目。1.2 项目建设目标通过本服务了解高校自身信息系统从物理层到应用层所存在的安全漏洞、风险隐患。通过对信息系统的安全分析,掌握当前系统的安全态势。建立起一套实时有效的信息安全服务体系,能根据安全要求的不断发展,升级和完
3、善相关安全防护功能。具体来讲,本项安全服务能帮客户解决以下几个方面问题:l 完善安全管理制度l 建立信息安全管理框架l 了解自身信息安全状况l 指导未来的信息安全建设和投入l 加固信息系统l 任务安保期间信息系统安全保障2 安全服务相关标准2.1 相关标准与规范在整个服务过程中,我们将参照最新和最权威的信息安全标准,作为安全服务的基本原则。这些安全标准包括:l GB 17859-1999计算机信息系统安全保护等级划分准则l GB/T 22239-2008信息系统安全等级保护基本要求l GB/T 28448-2012信息系统安全等级保护测评要求l GB/T18336信息技术-安全技术-信息技术安
4、全性评估准则l CVE:通用脆弱性标准。CVE是个行业标准,为每个漏洞和弱点确定了惟一的名称和标准化的描述,可以成为评价相应入侵检测和漏洞扫描等工具产品和数据库的基准。l IS027001:Code of practice for information security management,信息安全管理纲要l IS013335: Information technology-Guidelines for the management of IT Security,信息技术安全技术IT安全管理指南3 安全服务3.1 安全管理制度梳理服务以信息系统安全等级保护管理要求为依据,结合高校自身管理要
5、求,对高校现有的安全管理制度进行梳理,协助客户建全安全管理制度,交付客户安全管理制度建议报告。3.1.1 安全管理制度安全管理制度是安全管理体系的核心,依据国家等级保护政策的要求,分五个步骤(落实安全责任、管理现状分析、制度安全策略和制度、落实安全管理措施、安全自检与调整)实现安全管理制度建设。3.1.1.1 落实信息安全责任制明确领导机构和责任部门,包括设立或明确信息安全领导机构,明确主管领导,落实责任部门。建立岗位和人员管理制度,根据责任分工,分别设置安全管理机构和岗位,明确每个岗位的责任和人文,落实安全管理责任制。3.1.1.2 信息系统安全管理现状分析通过开展信息系统安全管理现状分析,
6、查找信息系统安全管理建设整改需要解决的问题,明确信息系统安全管理建设整改的需求。依据等级保护基本要求的标准,采取对照检查、风险评估、等级测评等方法,分析判断目前采取的安全管理措施与等级保护标准要求之间的差距,分析系统已发生的时间或事故,分析安全管理方面存在的问题,形成安全管理建设整改的需求并论证。3.1.1.3 制定安全管理策略和制度根据安全管理需求,确定安全管理目标和安全策略,针对信息系统的各类管理活动,制定人员安全管理制度,明确人员录用、离岗、考核、培训等管理内容;制定系统建设管理制度,明确系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管
7、理内容;制定系统运维管理制度,明确机房环境安全、存储介质安全、设备设施安全、安全监控、恶意代码防范、备份与恢复、应急预案等管理内容;制度定期检查制度,明确检查内容、方法、要求等,检查各项制度、措施的落实情况,并不断完善。规范安全管理人员或操作人员的操作规程等,形成安全管理体系。安全管理体系组成:安全管理体系安全管理方针和安全策略面向中高层管理层各类安全管理制度面向安全管理人员各类安全操作规程面向安全技术人员各类操作记录表格面向一线运维人员3.1.1.4 落实安全管理措施人员安全管理:包括人员录入、离岗、考核、教育培训等内容。规范人员录用、离岗、过程、管家岗位签署保密协议;对各类人员进行安全意识
8、教育、岗位技能培训;对关键岗位进行全面的严格的审查和技能考核;对外部人员允许访问的区域、系统、设备、信息等进行控制。系统运维管理:落实环境和资产安全管理、设备和介质安全管理、日常运行维护、集中安全管理、时间处置与应急响应、灾难备份、实时监测、其他安全管理系统建设管理:系统建设管理的重点是与系统建设活动相关的过程管理。由于主要的建设活动是由服务方(如集成方、开发方、测评方、安全服务方)完成的,运营使用单位人员的主要工作上对其进行管理,应此,应制度系统建设相关的管理制度。3.1.1.5 安全自查与调整制定安全检查制度,明确检查的内容、方式、要求等,检查各项制度、措施的落实情况并不不断完善。3.1.
9、1.6 信息系统安全管理建设工作流程编号流程1明确主管领导、落实责任部门2落实安全岗位和人员3信息系统安全管理现状分析4确定安全管理策略和安全管理制度5落实安全管理措施6人员安全管理系统运维管理系统建设管理环境和资产管理事件处理和应急响应设备和介质管理灾难备份日常运行维护安全监测集中安全管理其他安全运维管理7安全自查和调整3.1.2 服务流程1) 确定客户信息系统安全保护等级2) 收集客户现有安全管理制度;3) 将现有安全管理制度与等级保护基本要求做差距分析,输出安全管理建议报告;4) 根据安全管理建议报告,协助客户完善安全管理制度;5) 协助客户建立安全管理体系。3.1.3 服务方式现场服务
10、3.1.4 服务周期单次服务3.2 防护体系合规服务3.2.1 防护体系检查将客户信息系统现状与等级保护技术要求做差异分析,技术要求从物理安全、网络安全、主机安全、应用安全、数据安全五个方面进行分析,找出客户系统的安全短板和不合规项,输出硬件防护体系报告3.2.2 安全设备策略配置对客户现有安全设备进行策略配置,充分发挥现有设备的防护作用。3.2.3 安全设备租赁根据输出的硬件防护体系报告,如客户缺少相应安全设备,我公司提供设备租赁,以满足客户防护体系要求。3.2.3.1 租赁设备清单产品大类 产品型号产品描述租赁方式应用防火墙FW1000-GM-EDPtech FW1000-GM-E 双电源
11、交流主机,吞吐量10Gbps,并发连接数300万,攻击防护、病毒防护500Mbps,虚拟防火墙256个,推荐最大用户数3000,SSL VPN最大用户数200,固定接口4光4电,扩展插槽数量2个,高度1U年租/月租FW1000-GA-EDPtech FW1000-GA-E 双电源交流主机,吞吐量20Gbps,并发量400万,攻击防护、病毒防护1Gbps,虚拟防火墙256个,推荐最大用户数5000,SSL VPN最大用户数300,固定接口16光8Combo,扩展插槽数量2个,高度1U年租/月租FW1000-TS-A FW1000-TS-A 双电源交流主机,吞吐量25Gbps,并发量600万,攻击
12、防护、病毒防护1.5Gbps,虚拟防火墙1024个,推荐最大用户数15000,SSL VPN最大用户数300,固定接口8GE光+8GE电+4万兆光,扩展插槽数量2个,高度1U年租/月租FW1000-TM-EDPtech FW1000-TM-E 双电源交流主机,吞吐量40Gbps,并发量600万,攻击防护、病毒防护5Gbps,虚拟防火墙1024个,推荐最大用户数15000,SSL VPN最大用户数300,固定接口:4万兆光(SFP+)、4千兆Combo、2千兆电,扩展插槽数量4个,高度2U年租/月租入侵防御系统及防病毒网关IPS2000-ME-N+1YDPtech IPS2000-ME-N 双电
13、源交流主机,特征库升级-1 年,病毒库升级-1 年;吞吐量800Mbps,并发量100万,每秒新建连接数3万,支持带宽1.5Gbps,最大策略10000,固定接口:4GE电、2GE光,扩展插槽数量1个,高度1U年租/月租IPS2000-GA-E+1YDPtech IPS2000-GA-E 双电源 AC 主机含特征库病毒库 1 年;吞吐量3Gbps,并发量300万,每秒新建连接数5万,支持带宽300Mbps,最大策略5000,固定接口:16GE光、8Combo,扩展插槽数量1个,高度1U年租/月租IPS2000-TS-A+1YDPtech IPS2000-TS-A 双电源 AC 主机含特征库病毒
14、库 1 年;吞吐量6Gbps,并发量400万,每秒新建连接数13万,支持带宽2Gbps,最大策略20000,固定接口:8GE电、8GE光,扩展插槽数量2个,高度1U年租/月租IPS2000-TM-E+1YDPtech IPS2000-TM-E 双电源 AC 主机含特征库病毒库 1 年;吞吐量12Gbps,并发量500万,每秒新建连接数15万,支持带宽2Gbps,最大策略20000,固定接口:4GECombo、4 SFP+万兆光,扩展插槽数量4个,高度2U年租/月租WAFWAF3000-GC+1YDPtech WAF3000-GC 双电源交流主机,病毒库升级-1 年,WAF 库升级-1 年;网络
15、吞吐量3Gbps,应用吞吐量800Mbps,时延10ms,并发连接数45万,推荐用户流量600Mbps,硬盘500G,USB口数量:1个,固定接口:6GE电+2GE光,扩展插槽数量1个,高度1U年租/月租WAF3000-GE+1YDPtech WAF3000-GE 双电源交流主机,病毒库升级-1 年,WAF 库升级-1 年;网络吞吐量6Gbps,应用吞吐量2.5Gbps,时延8ms,并发连接数100万,推荐用户流量1.8Gbps,USB口数量:2个;固定接口:8千兆(combo)+16千兆光,扩展插槽数量2个,高度1U年租/月租WAF3000-TS-A+1YDPtech WAF3000-TS-A 双电源 AC 主机,病毒库 WAF 库 1 年;网络吞吐量22Gbps,应用吞吐量5.4Gbps,时延5ms,并发连接数700万,推荐用户流量4Gbps,USB口数量:2个host+1个device;固定接口:8GE电+8GE光,扩展插槽数量2个,高度1U年租/月租负载均衡ADX30
